Yetersiz Şifre Politikasının Sonuçları



Benzer belgeler
BİLGİ NOTU. SpeedTouch 585 Kablosuz ADSL Router

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

Quedra L MON Log Yönetim ve Güvenli Kayıt Yazılımı

AirTies Rt-204. Modem Kurulum Kılavuzu. Vodafone Teknoloji Servisleri

AirTies RT-212 Modem Kurulum Kılavuzu. Vodafone Teknoloji Servisleri

HACETTEPE ÜNİVERSİTE BİLGİ İŞLEM DAİRE BAŞKANLIĞI ŞİFRE DEĞİŞTİRME KILAVUZU

Cihazınızın İnternet ayarlarını yapabilmek için lütfen aşağıdaki adımları takip ediniz;

Kimsin Sen? /in/ahmet-dervis /adervis3 SauSiber adrvs.wordpress.com

BİLGİ NOTU. SpeedTouch 580. Kablosuz ADSL Modem

VELİ KULLANIM KILAVUZU

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

Bilgi Güvenliği Farkındalık Eğitimi

Airties Air5442 Modem Kurulum Kılavuzu

BİLGİ NOTU. SpeedTouch 546v6 ADSL Router

SBM ONLINE KULLANIM KILAVUZU

Cost Modülü Ay sonu İşlemleri

ANDROID İŞLETİM SİSTEMLERİ İÇİN KURULUM. Kurulum Ön Hazırlık (Tamamını Okumadan Lütfen KURULUMA BAŞLAMAYIN )

FOUR FAITH ROUTER LAR İÇİN BACKUP WAN KILAVUZU

RPMNET WOLVOX REPORTER

ZyXEL P-660HN-F1Z Modem ve VLAN Gerekliliği

ARiL Veri Yönetim Platformu Gizlilik Politikası

Smartnet PRO-W Kullanım Kılavuzu

PROJE: WEBWISE PARENTS (WEB UZMANI EBEVEYNLER) EBEVEYNLER İÇİN ANKET

3. BELGE DENETİMİ. Bu bölümde belge denetimi için gerekli olan yazım, dil bilgisi ve dil ayarlarını öğreneceğiz.

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

İSTEĞE BAĞLI KAYIT-TESCİL BAŞVURU KILAVUZU

KonAHED E-imza Yenileme İşlemleri Yardım Kılavuzu

Google Chrome Kullanıyorsanız; Microsoft Internet Explorer Kullanıyorsanız;

B2B KULLANIM TALİMATI

Elektronik Dergi ve Veri Tabanlarına Kampus Dışından Erişim

UZAKTAN ÖĞRETİM SİSTEMİ ORYANTASYON EĞİTİMİ BŞEÜ CANLI DERS SİSTEMİ

SAĞLIK BAKANLIĞI RESMİ E-POSTA BAŞVURU ADIMLARI

Kablosuz ADSL2+ Modem Router Kurulumu

Kullanıcı Kitabı (2011)

Öğrenci E Posta Açma Sistemi ve Kullanma Dokümanı

Xpeech VoIP Gateway Konfigurasyon Ayarları

AXA GO KULLANIM KILAVUZU

8. 2 Nasıl Banka Servisini Kullanabilir ve Faturalarımı Online Ödeyebilirim?

Arama motoru: kuş gribinin etkileri

Firewall Log Server. Kurulum Kılavuzu

IOS (Apple) İŞLETİM SİSTEMLERİ İÇİN KURULUM. Ön Hazırlık ve Kurulum (Tamamını Okumadan Lütfen KURULUMA BAŞLAMAYIN )

Açılıs Sayfası. Deneyimi

YENİ AKOFİS, MÜŞTERİ SİPARİŞ YÖNETİMİ

YouTube SEO Kılavuzu. Video İzlenme Oranlarını Artırmak ve Sıralamayı Yükseltmek İçin Etkili İpuçları

EBYS KULLANIMI İÇİN MOBİL ARAYÜZ AYARLARI ANDROID ve IOS SİSTEMLER İÇİN

JSON Korsanlığı. Mesut Timur, Şubat 2010, WGT E-Dergi 4. Sayı

BİLGE SEYYAH KULLANIM KILAVUZU

Kullanım Kılavuzu. G-Sec'e Genel Bakış

KURULUM CD Sİ MODEM KURULUMU

KURUMSAL YÖNETİM VE YATIRIMCI İLİŞKİLERİ PORTALI YATIRIMCI-GEZGİN ÜYE ÜYELİK KILAVUZU

İNTERNET PROGRAMCILIĞI HAFTA MYSQL - PHPMYADMIN. Hazırlayan Fatih BALAMAN. İçindekiler. Hedefler. Mysql Nedir.

ELEKTRONİK BELGE YÖNETİM SİSTEMİ KULLANICI GİRİŞ VE E-İMZA İŞLEMLERİ KLAVUZU

GÜZ DÖNEMİ KAYIT YENİLEME İŞLEMLERİ İNTERNET BAŞVURU KILAVUZU. Kayıt Yenileme Tarihleri 15 Ekim 2 Kasım 2012

Office 365. Kullanım Kılavuzu. Öğrenci

UZAKTAN ÖĞRETİM SİSTEMİ ORYANTASYON SEMİNERİ

e-imzatr Kurulum Klavuzu

NEUTRON SMART HOME NTA-GN8540

AKOFİS.NET - PRATİK BİLGİLER. Bu sunum; siz değerli müşterilerimizin web sitemizi kolay kullanmanız için pratik bilgiler vermeyi amaçlamaktadır.

UZAKTAN EĞİTİM YÖNETİM SİSTEMİ ÖĞRENCİ YARDIM KILAVUZU

Xpeech VoIP Gateway Konfigurasyon Ayarları

E-Bülten. Bilgi Merkezi Elektronik Bülteni yayın hayatına başladı. Toplu Tarama (Central Search) Toplu tarama kütüphaneler için neden gerekli?

Kuruluma başlamadan önce gerekli tüm bileşenlerin mevcut olup olmadığını kontrol edin. Pakette şunlar bulunmalıdır:

7/24 destek hattı AirTouch. Üç yıl garanti. Üç yıl garanti. YM.AP.4410.UM.TR.D01REV

İŞLETME İŞLEMLERİ KULLANIM KLAVUZU. İşletme Yardımcı Klavuz

Microsoft Excel. Çalışma Alanı. Hızlı Erişim Çubuğu Sekmeler Başlık Formül Çubuğu. Ad Kutusu. Sütunlar. Satırlar. Hücre. Kaydırma Çubukları

SQL 2005 SQL STUDIO MANAGER ACP YAZILIMI KURULUM KILAVUZU

Connection Manager Kullanım Kılavuzu

Harita güncelleme direktifleri

BİLGİ NOTU. SpeedTouch 530v6 ADSL Router

Yayın Ödünç Alma - İade Etme İşlemleri

P-661HNU F1 ve P-660HNU F1 QoS Yönetimi

Web Uygulama Güvenliği Kontrol Listesi 2010

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Erişim Noktası Ayarları

İNTERNET EXPLORER AYARLARI 1. Başlat-Ayarlar-Denetim Masası menüsünden "İnternet Özellikleri" (Seçenekleri)'ni seçiniz. Resim. 1

TELTONİKA ROUTER LARDA HABERLEŞME SÜREKLİLİĞİNİ SAĞLAYAN UYGULAMALAR

Java JDK (Java Development Kit) Kurulumu:

BİOS MENÜSÜNE GİRMEK İÇİN BİLGİSAYARIMIZIN GÜÇ DÜĞMESİNE BASIYORUZ.GENELDE BİLGİSAYARLARDA GÜÇ DÜĞMESİ OLARAK DEL TUŞU KULLANILMAKTADIR.

Pikatel Airmax Web Arayüzü

Kırklareli Üniversitesi Uzaktan Eğitim Uygulama ve Araştırma Merkezi

Örnek bir kullanım ve bilgisayar ağlarını oluşturan bileşenlerin özeti

1.5. Başvuru formundaki bilgileri aşağıdaki şekilde doldurunuz. Kart Okuyucu Tipi: Mini Kart Okuyucu Sertifika Süresi: 3 Yıl

Konum bazlı servisler ve uygulamaların hayatımıza kattıkları


AÇIK ÖĞRETİM LİSESİ BATI AVRUPA PROGRAMI SIKÇA SORULAN SORULAR

Pac Dosyası İle Proxy Kullanmak

TÜRKİYE HALK SAĞLIĞI KURUMU KULLANIM KILAVUZU

Universal Repeater Mod Kurulumu

LSI Keywords İle Sitenizin Sıralamasını Ve Trafiğini Arttırın

UZAKTAN EĞİTİM YÖNETİM SİSTEMİ (MMYO)EĞİTMEN YARDIM KILAVUZU

e-imzatr Kurulum Klavuzu

ONLINE İNGİLİZCE PLACEMENT (SEVİYE BELİRLEME) SINAV TALİMATI

GTS KULLANIM KLAVUZU

ELEKTRONİK İMZA BAŞVURUSU YARDIM DOKÜMANI

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ YÖNLENDİRİCİ AYARLARI

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.6372.UM.TR.D00REV

Transkript:

Yetersiz Şifre Politikasının Sonuçları Bünyamin Demir, Aralık 2009, WGT E-Dergi 3. Sayı Yazıya başlamadan önce değerli okura amacımı -iyi anlatmak- maksadıyla şu notları düşmek istiyorum; Aşağıda göreceğiniz ürün arayüzleri şahsi seçimim değildir. Denemeler sonucu karşıma çıkan arayüzlerdir. Yazıda ürün isimlerinden bahsetmedim. Fakat arayüzlerden tahminler olabilir. Yine de hatırlatmak gerekirse; amaç ürünleri kötülemek değil, bu tür açıklıkların internete çıkan ürünler de var olabildiğini göstermektedir. Bahsi geçen cihazlara ve bunları kullananlara kesinlikle zarar verilmemiştir. Lütfen sizler de testlerinizde kullanıcıların, yakınlarımızda olan arkadaşlarımız olabileceğini unutmayınız ve zarar vermeyiniz. Bir kaç hafta önce bir tanıdığım uydu cihazları ile ilgili bana bir link gönderdi. Tabi kendisinin bulduğu bir açıklığı içeriyordu. Kısaca açıklıktan bahsedecek olursak; bir uydu alıcısı cihazı alınmış ve bunun web arayüzü malesef internet ortamına açık bırakılmış. Tabi bu tür uydu alıcıları, kameralar v.s için internette birçok ipucu bulabilirsiniz. Arkadaşımın bu arayüze nasıl ulaştığı hakkında bilgim yok ama link aktif mi diye denediğimde ben de bahsi geçen arayüze ulaştım. Tabi merakla içinde biraz gezinmeye başladım (zarar vermeden). ilk tıklamalar sonucu gördüklerim ilginçti. 1 Web Güvenlik Topluluğu www.webguvenligi.org

2 Web Güvenlik Topluluğu www.webguvenligi.org

Fakat bundan sonrasını merak etmeye başladım. Acaba bu ürün için şu an açık kaç tane arayüz var? Tabi Google Hacking sağolsun. intitle:"xxxxx XXXX Interface" v.s gibi keyword`ler ile aradığımda karşıma çıkan sonuçlar ilginç. Asıl anlamadığım, böyle bir ürün satıp, arayüzün internette erişilebilir olacağı varsayımı varsa neden arama motorlarının indekslenmesi engellenmez? Tabi sorun sadece arayüzünü verdiğim uydu alıcısı için değil, buna benzer diğer ürünlere bakılınca da malesef aynı durum geçerli. Biz neler yapılabiliyoruz kısmı ile devam edelim. Daha sonra ürün hakkında biraz bilgi edindim. Bilmediğiniz bir programlama dilinde açıklık bulmak nekadar zorsa, özelliklerini (kullanılan işletim sistemi, arayüzler, ön tanımlı ayarlar v.s) bilmediğiniz bir cihazı kurcalamakta okadar zor. Bilgiler edinip, Google yardımıyla bulduğum arayüzlere baktım. Ardından FTP erişimi olduğunu gördüm ve... Dolayısıyla erişim sağlanacak noktalar bulup devam edilebilir. Fakat başka neler var derken, biraz daha meraktan sonra aşağıdaki arayüze ulaştım. 3 Web Güvenlik Topluluğu www.webguvenligi.org

Burada bulduğum "Host" adreslerini kullanmaya başladım ve karşıma aşağıdaki ekran geldi (başka şeylerde bulmak mümkün). Hiç bir şey yapmadan "Tamam" a basınca da malesef aşağıdaki ekran geliyor. 4 Web Güvenlik Topluluğu www.webguvenligi.org

Tabi artık bu uydu alıcısını kullanan kişinin modemine de hakim olmaya başladık. Bundan sonrasının teknik kısmını uzatmayıp, aslında değinmek istediğim konuya geçmek istiyorum. Belki hepimiz bu tarz bir uydu alıcısına sahip olmasak da buna benzer kameralar veya en azından bir ADSL modem sahibiyizdir. Yukarıda verilen örnekler de görüldüğü gibi, karşımıza bazı güvenlik problemleri çıkıyor. Ön tanımlı şifreler veya şifre atanmamış arayüzler. Peki bu bu probleme sebebi nedir? Ürünün sahibi olan firma yeteri kadar güvenlik politakası belirlememiş. Ürünü alıp, arayüze şifre koymayan veya ön tanımlı gelen şifreyi değiştirmeyen alıcı hatası. Firmayı ele aldığımızı düşünelim. Bir kere bu şekilde internet ortamına açılabilecek bir ürün ise (özellikle ADSL modemler) muhakkak bir şifre koyması gerekiyor -ki su an bunu bir çok ürün de görebiliriz. Peki bu koydukları genel şifre (muhtemelen satılan her ADSL modem için geçerlidir), yeterli mi? Belki IT ile direk veya dolaylı olarak bağlantılı işlerde çalışan kişiler, bu ön tanımlı şifreleri değiştirmeyi bir güvenlik gerekliliği olduğunu biliyorlardır. Fakat bu konuda herhangi bir bilgisi olmayan ve sadece amacı internete çıkmak isteyen bir kullanıcı. Bu ön tanımlı şifreyi değiştirmesi gerektiğini nerden bilecek? Hemen kendi ADSL modem kitapçığımı aldım ve baktım. Malesef bu şifrenin değiştirilmesi için herhangi bir ibare yok. Peki şu soruyu hemen soralım; ADSL modem satın alıp, internete çıkmak isteyen bir kişi, kendisinin artık bir kurban olduğunun farkında olsa ne yapar? Bunun hukuki boyutunu merak etmiyor değilim. Çünkü bundan doğacak zarar için elimde olan kitapçıkta birşey yazmıyor. Fakat bir an için firma gibi düşünmeye başlayalım. Sattığımız ürünün güvenliğini nasıl sağlarız? Her bir ürün için ayrı şifre üretsek. Bu bize her bir kitapçığa ayrı şifre yazmamızı ve buna ayrı bir yönetim kaynağı ayırmamız gerektirecektir. Takibi genel şifre vermekten zor olsa bile, çok masraflı olacağını düşünmüyorum. Fakat kitapçık kaybolursa ve kişi şifresini unutmuşsa ne olacak? Her modem için seri numarası üretilmiş olmalı. Bu seri numaralarına göre atanmış ön tanım şifreler firmada bulunmalı ve yine bir telefon numarası ile, seri numaranızı verip şifrelerinizi alabiliyor olmalısınız. Tabi bu iş için kişi istihdam edilmesi gerekecek ve yine maliyet artacak. Varsayalım ki bunu da yaptık. Ardından arayan kişinin gerçekten bizden modemi satın alan kişi olduğunu nerden bileceğiz? Ürünü satarken kimlik fotokopisi mi almamız lazım, emin değilim. Gerçekten Firma için de kolay bir konu değil. Yine de kitapçıkta bu ön tanımlı şifrenin değiştirilmesini önemli bir not olarak düşseler muhtemelen bu tür açıklıklar ciddi oranda azalacaktır. Parola seçimlerini de dikkate almakta fayda var. Karakter uzunlukları, içinde sayı veya?!$ v.s gibi karakterler geçip geçmeyeceği konularını da ele almak lazım. Belki bundan sonrası için bu çalışmalar yapılabilir fakat geçmişte satılmış ürünler hala çok ciddi tehlikeler oluşturuyor. Cihaz üzerindeki uygulama güncellemelerine bu şifre politikaları 5 Web Güvenlik Topluluğu www.webguvenligi.org

katılsa çok güzel olur, hatta auto update ile de çözülebilse ne güzel. En azından problemler biraz daha azalacaktır. Toparlamak için önerilerimizi madde madde sıralarsak; İnternete açık ürünlerin arayüzlerinin sıkı bir şifre politikası olmalı Eğer internete açık olması gerekmiyorsa muhakkak sadece local erişimlere izin verilmeli. Üretici firma, ürünü alan kişilere güvenlik politikası için şifre değiştirmeyi hem not düşmeli (kullanma klavuzu) hem de zorunlu kılmalı. Tabi burda sıkı bir şifre politikasının önemi artmaktadır. Ürün internete açıksa ve bu tarz güvenlik problemlerini gidermek isteniyorsa muhakkak auto update ile zaman zaman kritik güvenlik problemleri güncellenmeli. Her ihtimale karşı internete açık ürünler arama motorları tarafından indekslendirilmemeli. 6 Web Güvenlik Topluluğu www.webguvenligi.org

2026 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim